Согласно отчету Kiteworks «2023 Sensitive Content Communications Privacy and Compliance Report», организации сталкиваются со сложностями обеспечения безопасности каналов связи для обмена данными со сторонними партнерами и поставщиками, подвергая себя повышенному уровню риска, сообщает портал ComputerWeekly.
По данным проведенного компанией Kiteworks глобального исследования, в котором принял участие 781 специалист в сфере ИТ, кибербезопасности, рисков и соответствия нормативным требованиям, 29% из которых представляют регион EMEA, серьезные пробелы в политике управления цифровыми правами (DRM) в этой области грозят организациям неприятностями.
В частности, многие организации не имеют инструментов для отслеживания, контроля и защиты данных, которые отправляются третьим сторонам или используются совместно с ними, что создает значительный риск несанкционированного доступа, как злонамеренного, так и случайного.
«Результаты исследования подчеркивают необходимость управления цифровыми правами, которое применяет определяемую контентом систему нулевого доверия ко всем подразделениям и всем конфиденциальным данным, к которым осуществляется доступ, отправка, обмен и передача третьим сторонам, — говорит Франк Балонис (Frank Balonis), CISO и старший вице-президент по операциям компании Kiteworks. — Это невозможно сделать по частям, здесь, скорее, требуется унифицированное отслеживание и контроль до уровня отдельных пользователей».
Слишком много инструментов
По всей видимости, большая часть проблемы заключается в количестве систем и инструментов, используемых организациями для отслеживания, контроля и обеспечения безопасности коммуникаций с третьими сторонами: 84% респондентов заявили, что используют более четырех таких сервисов, а 85% отметили, что за последние 12 месяцев при передаче конфиденциального контента они сталкивались с четырьмя и более случаями использования эксплойтов.
Несколько меньшая часть респондентов, около 75%, признают, что им требуется определенная доработка методов оценки рисков, связанных с обменом конфиденциальным контентом. С другой стороны, менее 25% респондентов заявили, что они управляют или ограничивают доступ третьих сторон к своим конфиденциальным данным.
Поэтому, по мнению исследователей, организации нуждаются в «перестройке» системы DRM. 42% респондентов согласились с тем, что им необходим совершенно новый подход или, по крайней мере, значительные улучшения в этой области.
В частности, респонденты хотели бы иметь возможность применять политики соответствия и безопасности на уровне пользователей, ролей или классов контента, а не позволять сотрудникам вручную классифицировать каждый актив по мере необходимости.
Персональные данные — самая большая проблема
На вопрос о том, какой тип конфиденциального контента представляет наибольший риск для соответствия нормативным требованиям и безопасности, респонденты, как и следовало ожидать, ответили, что на первом месте стоит персональная информация, а на втором — интеллектуальная собственность, юридические документы, информация о слияниях и поглощениях, финансовые документы и другие типы контента.
По мнению исследователей, это беспокойство можно вполне увязать с постоянно растущим списком законов и нормативных актов, регулирующих конфиденциальность данных в разных странах, например GDPR в Европе.
Отвечая на вопрос о том, какие каналы связи представляют наибольший риск, респонденты назвали наиболее опасными электронную почту и веб-формы. Однако здесь исследователи обнаружила различия в вертикалях: организации, работающие в сфере энергетики и коммунального хозяйства, больше обеспокоены проприетарными файлообменными сервисами, организации, работающие в сфере финансовых услуг, опасаются веб-форм, а электронная почта рассматривается как наибольший риск в сфере технологий, безопасности и обороны.
Респонденты, однако, сошлись во мнении, что наибольшую озабоченность вызывает мультиарендный облачный хостинг таких инструментов, учитывая способность субъектов угроз атаковать одно приложение или набор данных, а затем переходить к другим арендаторам.
Четыре шага к снижению рисков
Исследователи выделила четыре шага, которые организации могут попытаться предпринять уже сейчас для снижения рисков, связанных с совместным использованием данных:
- Более целостный подход к соблюдению требований: организациям лучше не фокусироваться на подходе «для галочки» к отдельным регионам, а разработать универсальные лучшие практики, например, те, что описаны в NIST CSF.
- Более целостный подход к классификации данных, более детальное их распределение по категориям и обеспечение свободного доступа к ним тех, кому это действительно необходимо, с одновременной их блокировкой для всех остальных.
- Вслед за этим шагом необходимо усовершенствовать практику управления исходящими от инсайдеров рисками для защиты от злонамеренного и случайного раскрытия информации
- И, наконец, введение более комплексных мер киберзащиты, поскольку преступные группировки осознают ценность конфиденциального контента и усиливают свою нацеленность на инструменты, используемые для его передачи; понимание и проверка средств защиты этих инструментов становятся все более важными.